Verizon Data Breach Investigations Report, i criminali e la natura umana

Verizon Data Breach Investigations Report, i criminali e la natura umana

Il Verizon Data Breach Investigations Report 2016 evidenzia come i cyber-criminali stiano continuando a sfruttare meccanismi di social engineering per attaccare tramite phishing e ransomware.

Il report di quest’anno, infatti, segnala il perpetuarsi di modalità di violazione dei dati già riscontrate negli scorsi anni e che trovano terreno fertile nella fragilità umana. In particolare:
• L’89% di tutti gli attacchi implica motivazioni finanziarie o di spionaggio;
• La maggior parte degli attacchi sfrutta vulnerabilità conosciute ma irrisolte, nonostante le patch siano disponibili da mesi, se non addirittura anni. Infatti, le dieci vulnerabilità più conosciute hanno riguardato l’85% degli exploit di successo;
• Il 63% delle violazioni di dati rilevate ha interessato l’utilizzo di password deboli, predefinite o sottratte.
• Il 95% delle violazioni e l’86% degli incidenti di sicurezza segnalati rientra in sole nove tipologie precedentemente individuate;
• Gli attacchi ransomware sono in crescita del 16% rispetto ai dai riportati nel report del 2015;
• Le difese di base sono, ancora oggi, gravemente assenti in diverse organizzazioni.

Il phishing è il primo motivo di preoccupazione - Una modalità in sensibile ascesa rispetto allo scorso anno è il phishing, che si verifica quando un utente finale riceve un’e-mail da una fonte fraudolenta. È allarmante notare come nel 30% dei casi questi messaggi di phishing vengano aperti – un dato in crescita rispetto a quello registrato nel DBIR 2015 (23%) – e come il 13% di questi utenti abbia cliccato sull’allegato malevolo o sul link dannoso, permettendo l’infiltrazione di un malware e l’accesso dei cyber-criminali.
Negli anni precedenti, il phishing è stato un modello di attacco utilizzato esclusivamente per il cyber-spionaggio, ma nel report di quest’anno è presente in sette delle nove tipologie di incidenti individuate. Questa tecnica è estremamente efficace e offre agli attaccanti una serie di vantaggi, come tempi molto stretti di compromissione del sistema e la possibilità di concentrarsi su individui e organizzazioni specifiche.

Alla lista di errori commessi dal singolo individuo vanno aggiunti quelli perpetrati dalle organizzazioni stesse. Classificati come “errori di vario tipo”, questa tipologia di incidenti è al primo posto nella classifica delle violazioni di sicurezza individuate dal report di quest’anno. Infatti, il 26% di questi errori riguarda l’invio di dati sensibili al destinatario errato. Altri errori presenti in questa categoria sono: eliminazione non corretta di informazioni aziendali, errori nella configurazione dei sistemi informatici, furto o smarrimento di dispositivi come laptop o smartphone.

La rapidità con cui viene commessa un’azione di cybercrime rappresenta una tra le crescenti preoccupazioni dei ricercatori di Verizon nel campo della sicurezza. Nel 93% dei casi, gli attaccanti impiegano un minuto o meno per compromettere un sistema, mentre il furto di dati si verifica in pochi minuti nel 28% dei casi.

Nel report di quest’anno, così come già rilevato nell’edizione 2015 dello studio, la compromissione di dispositivi mobili o dell’Internet of Things non rappresenta un fattore significativo. Tuttavia, l’edizione 2016 del DBIR evidenzia come esistano già una serie di prototipi di exploit e che si tratta perciò solo di una questione di tempo prima che si verifichi una violazione su più larga scala che coinvolga dispositivi mobili e IoT. Ciò significa che le organizzazioni non possono abbassare la guardia e devono proteggere i propri smartphone e i vari oggetti connessi.

Importante notare, inoltre, che gli attacchi alle applicazioni web sono saliti al primo posto nella classifica delle violazioni di dati e che il 95% delle violazioni di questo tipo sono legate a motivazioni finanziarie.

Cresce l’attacco a tre fasi - Il report di quest’anno definisce la diffusione, con grande regolarità, di una modalità di attacco a tre fasi. Numerose aziende diventano preda di questa tipologia d’attacco, che comprende:
• L’invio di una mail di phishing che include un link a un sito web dannoso o, principalmente, un allegato malevolo;
• Il download del malware sul PC dell’utente, punto d’accesso iniziale, mentre malware aggiuntivi possono essere utilizzati per individuare documenti segreti, sottrare informazioni interne (spionaggio) o crittografare file a scopo di estorsione. Nella maggior parte dei casi, il malware ruba le credenziali di numerose applicazioni attraverso un key-logging.
• L’uso di credenziali per futuri attacchi, come l’accesso, ad esempio, a siti web di terze parti come banche o siti di e-commerce.

I ricercatori notano come misure di base ben implementate continuino ad essere più importanti di sistemi complessi. Una buona protezione comprende le seguenti regole:

• riconoscere quali sono i modelli di attacco più comuni nel proprio settore di appartenenza;
• utilizzare l'autenticazione a due fattori per i propri sistemi. Incoraggiare gli utenti ad utilizzare l’accesso a due fasi per le applicazioni di social networking;
• applicare rapidamente le patch;
• monitorare tutti gli accessi: esaminare i log-in per identificare più facilmente le attività dannose;
• crittografare i dati: se i dispositivi rubati sono criptati, è molto più difficile, per gli attaccanti, accedere ai dati;
• formare il personale: sviluppare la consapevolezza della sicurezza all'interno della propria organizzazione è fondamentale, dato soprattutto l’incremento nel numero di attacchi di phishing;
• conoscere i dati e proteggerli di conseguenza, limitando anche l’accesso.